Что нужно проделать на Debian 8.8, чтобы избавиться от Petya.A/Petya.C (Wanna Cry)?

Бггг, поломали то твой вордпресс/юмлу/прочий необновлённый ширпотреб.

погрепайте по eval ваши php-скрипты

твой ISP == «говно»©™ твой Debian == «говно»©™

делай выводы.. чсбх..

Секурные обновления поставить?

Пети и на линуксах работают https://securelist.ru/sambacry-is-coming/30889/

Пети и на линуксах работают

для этого надо поставить самбасервер, атакующий должен быть авторизован, принципиально не ставить обновления.

Бггг, поломали то твой вордпресс/юмлу/прочий необновлённый ширпотреб.

погрепайте по eval ваши php-скрипты

Он же написал, что ничего на него не ставил.
По делу - проси провайдера предоставить образ с устраненной уязвимостью. Либо сам себе образ собери.

вордпресс/юмлу

нет ничего такого на нем. просто голый LAMP

погрепайте по eval ваши php-скрипты

нет там никаких php-скриптов

apt update && apt upgrade -y && apt dist-upgrade -y
кстати, пароль длинный ? как выглядит доступ к ISP (ip адрес твоей vps или через кабинет хостера?)

Попробуй iptables -A OUTPUT ... для блокировки коннектов НА порты вовне.

Но я бы писал в суппорт провайдеру, мож это у них хост проломлен.

Он же написал, что ничего на него не ставил.

спасибо, что хоть кто-то прочел внимательно

По делу - проси провайдера предоставить образ с устраненной уязвимостью.

попросил. жду

Либо сам себе образ собери.

сам не делал ни разу

Наверняка хостер поставляет образ с какой-нибудь спанелью предустановленной или еще каким зондом.

заказал у провайдера новую установку «Debian-88-jessie-64-LAMP»
LAMP

Накати чистый официальный образ с дебиановских ресурсов и настрой все сам.

Секурные обновления поставить?

какие? как?

Пети и на линуксах работают

это я уже понял...

Секурные обновления поставить?

apt update && apt upgrade -y && apt dist-upgrade -y

Какой в этом смысл, если ось уже заражена?

для этого надо поставить самбасервер, атакующий должен быть авторизован,...

самбасервер отсутствует во всех последующих установках

принципиально не ставить обновления.

поставить обновления не успел, он уже тут как тут

Накати чистый официальный образ с дебиановских ресурсов и настрой все сам.

Это если можно загружаться со своим образом...
А то есть такие, у которых свой образ нельзя загружать.

apt update && apt upgrade -y && apt dist-upgrade -y

попробую

кстати, пароль длинный ?

да, более 12 символов. большие и маленькие буквы латинского алфавиита, цифры

как выглядит доступ к ISP (ip адрес твоей vps или через кабинет хостера?)

доступ осуществляется через putty по SSH2

Попробуй iptables -A OUTPUT ... для блокировки коннектов НА порты вовне.

попробую, но это получается консервирование вируса в моем компе...

Но я бы писал в суппорт провайдеру, мож это у них хост проломлен.

написал

putty по SSH2

А может на винде доступ воруют ?
И не поверю, что нет хостерской веб-админки, а есть только ssh.

Накати чистый официальный образ с дебиановских ресурсов и настрой все сам.

есть ссылка на туториал?

Какой в этом смысл, если ось уже заражена?

ну... тоже верно, а как вылечить? :-)

Переустановка с чистого, официального дистрибутива. Как самое надежное.

Это если можно загружаться со своим образом...
А то есть такие, у которых свой образ нельзя загружать.

тут как бы скорее всего нельзя свой. даже если б можно было, я думаю, что провайдер побыстрее найдет правильный образ с помощью команды своих IT-шников, чем я.

вопрос в том какие есть варианты действий, пока они там true-образ найдут?

А может на винде доступ воруют ?

может и воруют. но почему тогда только один из нескольких?

И не поверю, что нет хостерской веб-админки, а есть только ssh.

есть админка. зашел когда то в нее, взял пароль, и вышел. дальше по SSH

А чего его искать? https://www.debian.org/CD/ и все.

тут как бы скорее всего нельзя свой.

А у тебя случайно не DO/Vscale?

вопрос в том какие есть варианты действий, пока они там true-образ найдут?

Ждать ответа от провайдера | бежать от такого провайдера.

Переустановка с чистого, официального дистрибутива. Как самое надежное.

Идея хорошая. но был бы я прямо возле системника... а так все по удаленке, там есть конечно rescue режим, в котором с помощью спец-скрипта можно выбрать образ из более широкого ассортимента.

сам (без скрипта) не ставил никогда удаленно линукс с чистого, официального дистрибутива. может есть ссылка на статью «для чайников»?

А у тебя случайно не DO/Vscale?

нет

Если когда-нибудь уже ставил linux - то все тоже самое, только удаленно.
А если нет - то лучше попросить кого-нибудь из знакомых сис. админов.
Из статей для чайников вряд-ли смогу что-то посоветовать...

В чем минусы DO/VScale?

есть идеи как выкурить с debian компьютера Petya.A/Petya.C (Wanna Cry)?

Я про минусы ничего не говорил. Ну кроме как минимум одного - отсутствие возможности загружаться со своим образом.

Чистый образ. Если система скомпрометирована, вычищать вручную замучаешься, да и эффект непонятно будет ли.

гарантирую, что его там нет. посмотри какие порты сервер слушает, какие сервисы запущены. если виновата не винда, и никого похапе кода не выполняется, то ставлю на дырявый и криво настроенный хостерами ftp в образе.

Чистый образ.

OK

но дальше на чистом образе нужно как-то настроить firewall (iptables)

например, так: * закрыть все порты * открыть порты: список нужных портов как это правильно сделать?

что еще нужно сделать?

есть админка. зашел когда то в нее, взял пароль, и вышел. дальше по SSH

А потом через неё зашёл хакир.

Проверь свою винду на вирусы (никогда не вредно);
По возможности добудь гарантированно чистую систему (простейший вариант — загрузиться с убунтового CD записанного на другом компе) и дальше работай с сервером из неё;
Не используй пароли которые использовал в потенциально-взломанной-винде;
Поменяй пароли для доступа к кабинету провайдера;
Накати чистую систему (без LAMP и прочего, обычно называется debian minimal);
Жди что будет дальше (тут можно включить на сервере логгирование всего подряд с отправкой логов на удалённый сервер);
Если твой сервер опять начнёт атаковать то пиши провайдеру обо всём что ты сделала и скажи что возможно косяк всё-таки не у тебя.

P.S. Сервер боевой, или так? Длительный простой допустим?

какие порты сервер слушает,

root@comp:/home# nmap -P0 [ip_moego_servera]

Starting Nmap 6.47 ( http://nmap.org ) at 2017-06-29 15:25 EEST
Nmap scan report for [address_moego_servera] ([ip_moego_servera])
Host is up (0.060s latency).
Not shown: 992 closed ports
PORT      STATE    SERVICE
21/tcp    open     ftp
22/tcp    open     ssh
80/tcp    open     http
135/tcp   filtered msrpc
139/tcp   filtered netbios-ssn
445/tcp   filtered microsoft-ds
2869/tcp  filtered icslap
10000/tcp open     snet-sensor-mgmt

Nmap done: 1 IP address (1 host up) scanned in 14.39 seconds

какие сервисы запущены

как узнать?

А потом через неё зашёл хакир.

а потом я ее затер и пароль поменялся

Проверь свою винду на вирусы (никогда не вредно);

проверял, но антивирусы не в курсе пока что кто такой Petya.A/Petya.C (Wanna Cry)

По возможности добудь гарантированно чистую систему (простейший вариант — загрузиться с убунтового CD записанного на другом компе) и дальше работай с сервером из неё;

хороший совет. спасибо!

Не используй пароли которые использовал в потенциально-взломанной-винде;

хотя бы 1 раз придется...

Поменяй пароли для доступа к кабинету провайдера;

слишком много их... но можно

Накати чистую систему (без LAMP и прочего, обычно называется debian minimal);

накатывал такую (см. выше) но посте установки VPN сервера и подключения к нему клиентов - снова пришла жалоба...

P.S. Сервер боевой, или так?

да не особо. несколько человек выходит через него в интернет. Это все что от него нужно.

Длительный простой допустим?

тут не понял вопрос...

netstat -nlpa | grep LISTEN
systemctl | grep running

проверял, но антивирусы не в курсе пока что кто такой Petya.A/Petya.C (Wanna Cry)

Не думаю что на твоём ПК или тем более сервере Петя. На твоём ПК может быть какой-то троят который используется для воровства доступов к серверам, которые в свою очередь используются для распространения Пети. Или для рассылки спама, или для чего угодно ещё. Петя в твоём случае просто полезная нагрузка, полезная нагрузка могла-бы быть любой другой. В данном случае это не более чем занимательный факт.

хотя бы 1 раз придется...

Я не предполагаю что в твоих паролях содержится вирус, я предполагаю что они могу быть известны злоумышленнику. Смысл в том что-бы знание этих паролей больше не давало ему доступа ни к чему (т.е. что-бы эти пароли больше нигде не использовались). И что-бы новые пароли не использовались в потенциально-взломанной системе

накатывал такую (см. выше) но посте установки VPN сервера и подключения к нему клиентов - снова пришла жалоба...

Ты вроде говорил что накатывал с LAMPом. В любом случае провайдеры любят предустанавливать в образы кучу всякого ненужного мусора. По этому я всегда стараюсь выбирать тот образ про который явно указано что он minimal. Ну или самому ставить.

накатывал такую (см. выше) но посте установки VPN сервера и подключения к нему клиентов - снова пришла жалоба...

И эти клиенты ходят через этот VPN в интернет. Я пытался сформулировать эту мысль по саркастичней, но не получается: инфицирован один из компов использующих этот VPN, он участвует в атаке, с точки зрения остального мира это выглядит так как-будто атака идёт с твоего сервера.
И да, наличие VPN сервера выпускающего своих клиентов в интернет это деталь о которой стоило упомянуть гораздо раньше.

Вот это не похоже на minimal систему без лишней фигни

21/tcp    open     ftp
80/tcp    open     http
10000/tcp open     snet-sensor-mgmt

10000/tcp open snet-sensor-mgmt

а это ж наверно webmin

netstat -nlpa | grep LISTEN
systemctl | grep running

root@Debian-88-jessie-64-LAMP ~ # netstat -nlpa | grep LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      584/sshd
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      1020/mysqld
tcp        0      0 0.0.0.0:10000           0.0.0.0:*               LISTEN      1186/perl
tcp6       0      0 :::21                   :::*                    LISTEN      694/proftpd: (accep
tcp6       0      0 :::22                   :::*                    LISTEN      584/sshd
tcp6       0      0 :::80                   :::*                    LISTEN      761/apache2
unix  2      [ ACC ]     STREAM     LISTENING     11017    1/init              /var/run/dbus/system_bus_socket
unix  2      [ ACC ]     STREAM     LISTENING     12376    1020/mysqld         /var/run/mysqld/mysqld.sock
unix  2      [ ACC ]     STREAM     LISTENING     12643    1062/systemd        /run/user/0/systemd/private
unix  2      [ ACC ]     STREAM     LISTENING     8143     1/init              /run/systemd/private
unix  2      [ ACC ]     STREAM     LISTENING     8164     1/init              /run/lvm/lvmetad.socket
unix  2      [ ACC ]     SEQPACKET  LISTENING     8167     1/init              /run/udev/control
unix  2      [ ACC ]     STREAM     LISTENING     8170     1/init              /run/systemd/journal/stdout
root@Debian-88-jessie-64-LAMP ~ # systemctl | grep running
session-1.scope                                                                             loaded active running   Session 1 of user root
session-7.scope                                                                             loaded active running   Session 7 of user root
apache2.service                                                                             loaded active running   LSB: Apache2 web server
atd.service                                                                                 loaded active running   Deferred execution scheduler
cron.service                                                                                loaded active running   Regular background program processing daemon
dbus.service                                                                                loaded active running   D-Bus System Message Bus
getty@tty1.service                                                                          loaded active running   Getty on tty1
haveged.service                                                                             loaded active running   Entropy daemon using the HAVEGE algorithm
mysql.service                                                                               loaded active running   LSB: Start and stop the mysql database server daemon
networking.service                                                                          loaded active running   LSB: Raise network interfaces.
proftpd.service                                                                             loaded active running   LSB: Starts ProFTPD daemon
rsyslog.service                                                                             loaded active running   System Logging Service
ssh.service                                                                                 loaded active running   OpenBSD Secure Shell server
systemd-journald.service                                                                    loaded active running   Journal Service
systemd-logind.service                                                                      loaded active running   Login Service
systemd-timesyncd.service                                                                   loaded active running   Network Time Synchronization
systemd-udevd.service                                                                       loaded active running   udev Kernel Device Manager
user@0.service                                                                              loaded active running   User Manager for UID 0
webmin.service                                                                              loaded active running   LSB: Webmin
dbus.socket                                                                                 loaded active running   D-Bus System Message Bus Socket
syslog.socket                                                                               loaded active running   Syslog Socket
systemd-journald-dev-log.socket                                                             loaded active running   Journal Socket (/dev/log)
systemd-journald.socket                                                                     loaded active running   Journal Socket
systemd-udevd-control.socket                                                                loaded active running   udev Control Socket
systemd-udevd-kernel.socket                                                                 loaded active running   udev Kernel Socket
root@Debian-88-jessie-64-LAMP ~ #

tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN 1186/perl

что это за сервер на перле?

webmin же.

первым был debian minimal + VPN + smb

потом я подцепил вирус, получил жалобу

потом я установил debian minimal + VPN сервер + закрыл порты (21, 111, 135, 137, 138, 139, 445, 6851, 36082, 65448) с помощью iptables + подключил VPN клиентов к своему VPN серверу

потом я снова подцепил вирус, получил жалобу

потом я установил debian LAMP

теперь пытаюсь разобраться в ситуации на этом форуме

так отчего бы не поставить minimal, выпилить всё ненужно, поставить обновки и не подождать чего там хостер скажет ?
а то может это клиенты через впн сканируют, а ты сервер подозреваешь.

так отчего бы не поставить minimal, выпилить всё ненужно, поставить обновки и не подождать чего там хостер скажет ?

так и сделаю, но чуть позже. А сейчас жду проверки текущей системы провайдером и ответ на мой тикет.

Тем временем готовлю полный план по установке новой чистой системы и ее последующей настройке. Приму ваши советы по этому поводу...

инфицирован один из компов использующих этот VPN, он участвует в атаке, с точки зрения остального мира это выглядит так как-будто атака идёт с твоего сервера

Сразу об этом подумал. Какие ещё пети в дебиане, что за бред. Тупо у какого-то юзера комп заражён и гадит через VPN.

Я мог немного пропустить, но если к твоему серверу подключаются поVPN, не может ли он быть просто промеждуточным звеном?

ТС, сначала утверждал что проблема появляется на чистом сервере. пусть подтвердит или опровергнет.